Was tun nach einem Phishing-Angriff?

Auch die beste Prävention kann nicht zu 100 % verhindern, dass ein Phishing-Angriff einmal erfolgreich ist. Entscheidend ist dann, wie schnell und richtig Sie reagieren. Die ersten Minuten bis Stunden bestimmen oft, wie groß der Schaden letztlich wird. In diesem Artikel erhalten Sie eine klare, praxisnahe Handlungsanleitung für den Ernstfall – für KMU, Handwerksbetriebe, Industrie und Dienstleistungsunternehmen.

 

Sofortmaßnahmen (Erste 15 Minuten)

Im Verdachtsfall eines Phishing-Angriffs ist schnelles und geordnetes Handeln entscheidend, um den Schaden zu begrenzen. Sobald Sie einen Phishing-Vorfall vermuten, handeln Sie schnell und strukturiert:

  • Gerät sofort isolieren
    Internetverbindung trennen (WLAN ausschalten, Netzwerkkabel rausziehen). Das verhindert weitere Schadsoftware-Verbreitung.
  • Betroffene Personen informieren
    Informieren Sie direkt den Geschäftsführer / Inhaber und die IT-Verantwortlichen (intern oder extern).
  • Keine weiteren Aktionen auf dem Gerät
    Nichts herunterladen, keine Passwörter ändern und keine Programme starten.
  • Passwörter von einem sauberen Gerät ändern
    Alle wichtigen Passwörter (E-Mail, Cloud-Dienste, Bankzugänge etc.) von einem anderen, unversehrten Gerät aus ändern.

Diese ersten Maßnahmen entscheiden maßgeblich darüber, wie stark sich der Vorfall auswirkt und ob eine weitere Ausbreitung verhindert werden kann.

 

Nächste Schritte (nächste 1–2 Stunden)

Nach der ersten Eindämmung folgt die strukturierte Analyse und Sicherung des Vorfalls.

  • Umfang des Vorfalls einschätzen
    Welche Daten könnten betroffen sein? Wurden Zugänge kompromittiert? Gab es weitere Klicks oder Anhänge?
  • Backups prüfen
    Nicht aus dem infizierten System heraus, sondern von einem sauberen Backup.
  • Schadsoftware-Scan durchführen
    Mit einer professionellen Security-Lösung das betroffene Gerät gründlich untersuchen.
  • Vorfall dokumentieren
    Screenshots der Phishing-Mail, Zeitpunkt, betroffene Personen, mögliche Folgen – alles protokollieren.

Eine saubere Dokumentation bildet die Grundlage für die technische Analyse, mögliche Meldepflichten und die spätere Verbesserung der Sicherheitsmaßnahmen.

 

Meldepflichten und externe Stellen

Je nach Art des Vorfalls und Unternehmenssituation können unterschiedliche Melde- und Informationspflichten bestehen:

  • Datenschutzverantwortliche
    Erste Anlaufstelle zur Bewertung möglicher Datenschutzvorfälle durch den Datenschutzbeauftragten oder die verantwortliche Stelle im Unternehmen.
  • IT-Sicherheitsverantwortliche
    Zentrale Anlaufstelle zur Bewertung und Koordination von IT-Sicherheitsvorfällen, z. B. IT-Sicherheitsbeauftragter oder CISO.
  • Polizei
    Bei Verdacht auf Betrug, Erpressung oder Ransomware sinnvoll zur Strafverfolgung
  • Behörden (BSI)
    Meldepflicht bei sicherheitsrelevanten Vorfällen in besonders regulierten Unternehmen z. B. im Rahmen von KRITIS oder NIS2)
  • Versicherung
    Sollte gemäß Vertragsbedingungen zeitnah informiert werden (häufig innerhalb von 24–48 Stunden)
  • Datenschutzaufsichtsbehörde
    Bei meldepflichtigen Datenschutzverletzungen gemäß DSGVO (in der Regel innerhalb von 72 Stunden)

Wichtig ist nicht nur, wen man informiert, sondern auch wie der Ablauf im Unternehmen geregelt ist. Ein klar definierter Meldeweg stellt sicher, dass Sicherheitsvorfälle schnell erkannt, intern bewertet und an die richtigen Stellen weitergeleitet werden. Dazu gehören feste Zuständigkeiten, ein definierter Eskalationsprozess sowie ein dokumentierter Ablauf für die Erstreaktion.

 

Nachsorge und Aufarbeitung

Nach der akuten Eindämmung des Vorfalls beginnt die technische und organisatorische Aufarbeitung. Ziel ist es, die Ursache zu verstehen, weitere Risiken auszuschließen und ähnliche Vorfälle künftig zu verhindern.

  • Betroffene Systeme bereinigen oder neu aufsetzen
  • Passwörter flächendeckend ändern (auch bei nicht direkt betroffenen Accounts)
  • Schwachstellenanalyse: Warum hat der Angriff funktioniert?
  • Mitarbeiter über den Vorfall informieren (ohne Schuldzuweisung)
  • Phishing-Simulationen intensivieren

Eine strukturierte Nachsorge hilft dabei, Sicherheitslücken nachhaltig zu schließen und die Widerstandsfähigkeit des Unternehmens langfristig zu verbessern.

 

Branchenspezifische Hinweise

Phishing-Angriffe wirken sich je nach Branche unterschiedlich aus, da sowohl Ziele als auch betroffene Daten stark variieren.

  • Handwerk & KMU
    Schnelles Handeln bei falschen Überweisungen oder kompromittierten E-Mail-Konten ist besonders wichtig.
  • Industrie
    Produktionsausfälle durch Ransomware oder Angriffe auf OT-Systeme können erhebliche wirtschaftliche Schäden verursachen.
  • Gesundheitswesen
    Datenschutzverletzungen im Zusammenhang mit Patientendaten erfordern schnelle Reaktionen und eine besonders sorgfältige Aufarbeitung.
  • Kanzleien
    Der Schutz sensibler Mandantendaten sowie GoBD-relevanter Informationen macht eine professionelle Nachsorge unverzichtbar.

Da sich Angriffsmuster und Risikoziele je nach Branche unterscheiden, müssen Schutz- und Reaktionsmaßnahmen jeweils gezielt darauf abgestimmt werden.

 

Resümee

Ein Phishing-Angriff ist kein Ausnahmefall, aber der Schaden lässt sich durch schnelle und strukturierte Reaktion deutlich begrenzen. Entscheidend sind eine gute Vorbereitung, klare Zuständigkeiten und aktuelle Backups.

Wirksam wird der Umgang mit solchen Vorfällen vor allem dann, wenn Datenschutz und IT-Sicherheitsmaßnahmen strukturiert zusammenspielen und fest im Unternehmen verankert sind. So entsteht eine belastbare Grundlage, um Vorfälle nicht nur zu bewältigen, sondern die Folgen und Risiken zu deutlich reduzieren.

 

Unsere Angebote für Sie:

  • Beratung und Umsetzung von  DSGVO und BDSG
  • Beratung und Umsetzung ISO 27001, TISAX und NIS-2
  • Stellung des externen Datenschutzbeauftragten (DSB)
  • Durchführung interner Audits zur Vorbereitung auf Zertifizierungsaudits
  • Schulungen für Mitarbeiter zur Audit- und Sicherheitskompetenz

 

Kontaktieren Sie uns noch heute!
Für ein unverbindliches Erstgespräch – wir beraten Sie zu
Audits, Datenschutz und IT-Sicherheit.

 

Matthias A. Walter, http://www.tec4net.com

EDV-Sachverständiger | Auditor für Datenschutz und IT-Sicherheit

Quellen und Links:

Beratung und Audit zu ISO 27001, TISAX und NIS-2 mit tec4net
https://www.tec4net.com/web/it-security/

EDV-Sachverständige bei Phishing – IT-Forensik und Beweissicherung
https://www.tec4net.com/web/gutachten/

Datenschutzberatung mit tec4net: DSGVO, BDSG und LDSG erfolgreich umsetzen
https://www.tec4net.com/web/datenschutz/

Auditdurchführung nach ISO 19011
https://www.tec4net.com/web/iso-19011/

KI-Strategieberatung und KI-Schulungen für Unternehmen
https://www.tec4net.com/web/2025/08/05/10500/

tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX, NIS-2 und PCI-DSS.

 

www.tec4net.comwww.it-news-blog.comwww.it-sachverstand.infowww.datenschutz-muenchen.comwww.it-sicherheit-muenchen.com